400 tys. infekcji złośliwą koparką w dobę – tak się dziś atakuje aktualizacje programów

MediaGetmoże nie jest tak popularnym klientem sieci BitTorrent jak np.uTorrent, ale i tak na świecie korzysta z niego przynajmniej kilkamilionów użytkowników, doceniających wygodny interfejs iwbudowaną wyszukiwarkę torrentów. Nie sądzimy jednak, by docenilioni dodatkową funkcję, koparki kryptowalut, którą wdrożono wciągu ostatnich kilku dni u ponad pół miliona ofiar.

Producentów oprogramowania antywirusowego zaskoczyło tempoataku. 6 marca sieć czujników Windows Defendera alarmowała oaktywności ponad 80 tysięcy instancji droppera Dofoil/Smoke Loader,który pobierał i uruchamiał koparkę względnie nowej kryptowalutyElectroneum (dla zainteresowanych, to taka „umobilniona” wersjaMonero, wciąż bazująca na algorytmach CryptoNote/CryptoNight).Działo się to głównie w Rosji, Turcji i na Ukrainie – alepojawiały się też sygnały o infekcji z innych miejsc na świecie.

12 godzin później w Internecie działało już ponad 400 tysięcyinstancji Dofoil/Smoke Loader. Niezłe tempo, prawda? Microsoftpoczątkowo skupił się przede wszystkim na samym działaniuszkodnika, pomijając kwestię samego wektora infekcji. Z analizyekspertów firmy z Redmond dowiadujemy się, że wykorzystanowypróbowaną technikę wstrzykiwania kodu, zwaną *wydrążaniemprocesu *(process hollowing), wktórej próbuje się stworzyć nową, uzłośliwioną instancję jużistniejącego, „czystego” procesu, aby zdezorientowaćoprogramowanie ochronne co do natury działającego kodu.

W tym wypadku wydrążonyproces explorer.exe wyzwalałdrugą złośliwą instancję, która pobiera i uruchamia koparkękryptowalut, udającą normalną windowsową binarkę o nazwiewuauclt.exe. Następnie kopia szkodnika jest przenoszona do folderuRoaming AppData, jej nazwę zmienia się na ditereah.exe, a następnietworzony jest nowy klucz w Rejestrze (lub modyfikowany jużistniejący), który wskazuje na nową kopię malware. W ten sposóbszkodnik uzyskuje trwałą obecność w systemie, uruchamia się pokażdym restarcie komputera.

Sterowanie zapewnia oczywiścieserwer dowodzenia i kontroli, co ciekawe dostępny poprzezzedecentralizowaną infrastukturę kryptowaluty Namecoin (mającej wzałożeniu być rozproszoną alternatywą DNS) – Dofoil/SmokeLoader nasłuchuje od niego rozkazów, pozwalających też napobranie i zainstalowanie nowych szkodników.

Dopiero po tygodniu Microsoftujawnił,jak jednak możliwe było tak szybkie rozpowszechnienie się nowegomalware. Okazuje się, że winny był wspomniany klient BitTorrenta,program MediaGet. Nie był to jednak efekt pobrania jakiegośpodejrzanego torrenta. Wręcz przeciwnie, to sam klient zostałwykorzystany jako furtka do systemu. Między 12 a 19 lutegocyberprzestępcy przeprowadzili cichą operację, która wzięła nacel mechanizm aktualizacji MediaGeta. To tzw. atak typu supply chain– udało się podpisać zatruty plik z aktualizacją (update.exe)innym niż oryginalnie certyfikatem, a następnie przejść bezwywoływania alarmu test przeprowadzany przez MediaGeta.

Tak więc bezpieczny i podpisanymediaget.exe pobierał podstawiony mu plik update.exe. To update.exezawierało spakowany i samorozpakowujący się plik InnoSetup SFX,instalujący nowy mediaget.exe, tyle że niepodpisany i w dodatku zfurtką. Z analizy kodu wynika, że ta uzłośliwiona wersja,oznaczona jako Trojan:Win32/Modimer.A, jest w 98% podobna doniezłośliwego MediaGeta. To wystarczyło, by ominąć większośćantywirusów i błyskawicznie zainfekować setki tysięcy ofiar,przynosząc napastnikom całkiem realny zysk z wykopanej nowejkryptowaluty o niedużym stopniu trudności kopania.

Ze swojej strony eksperciMicrosoftu zachwalają oczywiście mechanizmy monitoringu imaszynowego uczenia w Windows Defenderze, które nie dały sięzwieść i zdołały wykryć zagrożenie w ciągu milisekund.Podkreślają też, że Windows 10 S (czyli okaleczona wersjaWindowsa niezdolna do uruchamiania niezależnych aplikacji win32 –przyp. red.) jest odporna na tego typu ataki.

W tej sprawie jednak nieskuteczność Windows Defendera jest sprawą kluczową, a cośzupełnie innego, problem systemowy. Niezliczone aplikacje windowsowepróbują aktualizować się na własną rękę. Wystarczy by tylkoniewielka część z nich robiła to nie najlepiej – przynajmniej zperspektywy bezpieczeństwa IT, a już ataki typu supply chain stająsię bardzo dobrą drogą zdobycia przyczółka w systemie. Mamy tubowiem do czynienia z bardzo ciekawą sytuacją – podpisany cyfrowoprogram po aktualizacji traci lub zmienia podpis, a mimo to możezostać uruchomiony przez system jak gdyby nigdy nic. CzyMicrosoftowi pozostanie domyślnie zablokować możliwośćuruchamiania niepodpisanego oprogramowania, by uniknąć tego typuwypadków? Nawet jeśli, to nawet i to niewiele pomoże –odpowiedni certyfikat zawsze można kupić, w sklepie zcertyfikatami. Już za 1600 dolarów możnadostać od odpowiedniej firmy-wydmuszki certyfikat ExtendedValidation z pozytywną reputacją, przyjmowany z aprobatą przezmechanizm SmartScreen Defendera.